Когато започнете да се занимавате с непознат софтуер, странни скриптове, изпратени ви чрез чат, или прикачени файлове, на които не се доверявате напълно, имайки... изолирана среда, където нищо от това не може да повреди вашия Windows Това е практически задължително. В сигурността това се нарича пясъчник (sandboxing). Това означава създаване на един вид контролирана среда, където можете да провеждате тестове, без страх от срив на системата или изтичане на чувствителни данни.
Хубавото е, че в много случаи можете да монтирате тази защита по начин, който ръчно и без инсталиране на програми на трети странивъзползвайки се от това, което Windows вече предлага (като например Пясъчник на Windowsили дори чрез използване на пясъчник (sandbox) среди, които разчитат на примитиви на операционните системи в macOS, Linux или WSL2. А когато е необходимо да отидете още една крачка напред, имате инструменти като Sandboxie Plus, които ви дават прецизен контрол върху това, което всяко приложение може да прави.
Какво точно е пясъчник и защо може да ви е интересно да го използвате?
Казано по-просто, пясъчникът е механизъм за сигурност, който разделя изпълнението на програмите Така че, дори ако нещо се обърка или е злонамерено, щетите остават ограничени в тази среда и не достигат до основната система или личните ви данни. Тази изолация може да засегне процесора, паметта, диска, мрежата и дори входните устройства.
Едно от най-често срещаните приложения на пясъчника е стартиране на ненадеждни приложенияТе включват инсталатори, изтеглени от съмнителни уебсайтове, подозрителни прикачени файлове към имейли или двоични файлове, получени чрез съобщения. Като се държат в изолирана среда, достъпът им до ресурси като съхранение, мрежа, проверка на хост системата или четене на входни устройства е силно ограничен. ограничен или директно блокиранв зависимост от това как конфигурирате защитата.
Класически пример за пясъчник е пълни виртуални машиниТези емулатори емулират цял компютър и зареждат гостевата операционна система напълно отделно от хоста. Гостовата система не работи директно, а чрез емулатора или хипервизора. Тя може да осъществява достъп до физическите ресурси на хоста само през този междинен слой.
Виртуалните машини обаче не са единственият вид пясъчник, който съществува. Съвременни браузъри като Chrome, Chromium или Edge Те използват множество слоеве за изолация на процесите, така че компрометиран раздел да не повлече надолу останалата част от системата. По подобен начин някои съвременни инструменти за разработка предлагат собствена вътрешна пясъчник за изпълнение на кодови агенти, скриптове и терминални команди с много ограничени разрешения.
В екосистемата на Windows, освен виртуални машини, имате опции като Пясъчник на Windows и усъвършенствани решения като Sandboxie Plus. Решения, които създават отделна операционна среда за вашите програми. А ако погледнете други системи, проекти като агенти за разработка на sandbox използват системни примитиви (Seatbelt на macOS, seccomp или Landlock на Linux, bubblewrap и др.), за да подсилят тази изолация.
Windows Sandbox (WSB): Пясъчникът, вграден в Windows 10 и 11
Microsoft включи функция в Windows 10 и Windows 11, наречена Пясъчник на Windows (Windows Sandbox, WSB), проектиран така, че всеки потребител да може да разполага с готова за употреба „мини виртуална машина“ без много затруднения. Базиран е на виртуализация на хипервизора (Hyper-V) и настройва лека, временна и напълно отделна работна среда на основната система.
В това изолирано пространство можете да инсталирате и стартирате програми с пълно спокойствие. Всичко, което се случва там, си остава тамКогато затворите прозореца на пясъчникa, инсталираният софтуер, създадените файлове и дори състоянието на системата се изтриват, сякаш никога не са съществували. Всеки път, когато го стартирате, получавате нов и чист екземпляр, подобно на нова инсталация на Windows.
Приложенията за хостване не се споделят автоматично с пясъчната кутия. Ако имате нужда от нещо вътре, ще трябва... инсталирайте го изрично в изолираната средаИли картографирайте папки, следвайки синтаксиса на .wsb файловете, където можете дори да маркирате пътища в режим само за четене и да деактивирате мрежата, за да добавите допълнителен слой сигурност.
От техническа гледна точка, WSB се държи като виртуална машина за еднократна употребаВъпреки това, тя е много по-лека от конвенционалната виртуална машина. Тя използва файлове от операционната система, отделно, опростено ядро и прилага оптимизации за намаляване на консумацията на памет и ускоряване на времето за зареждане. По този начин можете да я стартирате и да работи за секунди.
Основни характеристики на Windows Sandbox
Едно от най-ясните предимства на WSB е, че е част от професионални издания на WindowsСледователно, не е необходимо да инсталирате хипервизор от трета страна или пълноценно решение за виртуализация, за да имате сравнително стабилна среда за виртуализация. Всичко вече е в системата и е готово за активиране от допълнителните функции.
Това изолирано пространство е напълно за еднократна употреба и безупречно чистиВсяко стартиране е еквивалентно на зареждане на нова инсталация на Windows. Нищо не се запазва, когато затворите прозореца, което значително опростява тестването на софтуера и предотвратява натрупването на остатъци от програмата или необичайни конфигурации с течение на времето.
По отношение на сигурността, Windows Sandbox е базиран на хардуерна виртуализация за изолиране на ядротоТой използва хипервизора на Microsoft, за да изпълнява отделно ядро, което стриктно изолира пясъчната кутия от основната система. Това значително намалява повърхността за атака, ако тестваният изпълним файл съдържа злонамерен софтуер, експлойти или неочаквано поведение.
По отношение на производителността, WSB е проектиран да бъде бързо и ефективноТой използва виртуалния графичен процесор, интегриран планировчик на ядрото и интелигентно управление на паметта, което води до по-ниско време за зареждане и по-ниска консумация на ресурси в сравнение с пълна виртуална машина със собствена независима операционна система.
Включен в Windows 10 Pro, Enterprise и Education, както и в Windows 11 Pro и Enterprise, Не са ви необходими външни VHD дискове или допълнителни лицензиСистемата използва намален образ на самия Windows, приблизително 100 MB, за да стартира средата, опростявайки поддръжката и намалявайки допълнителните изтегляния.
Изисквания за редактиране, лицензиране и хардуер за използване на WSB
Windows Sandbox не е наличен във всички версии на системата. За да го активирате, ви е необходим съвместимо издание на WindowsПоддържат се Windows 10 Pro, Enterprise или Education (включително Pro Education/SE), или Windows 11 Pro и Enterprise. Windows Home засега е изключен, тъй като Microsoft не предлага официална WSB поддръжка за тази версия.
Що се отнася до лицензирането, правата за ползване на изолираното пространство са включени в Лицензи за Windows, насочени към професионална и образователна средаТова би включвало Windows Pro и Pro Education/SE, Windows Enterprise E3 и E5, както и образователните лицензи A3 и A5. Пълни подробности за лицензирането можете да намерите в общата документация за лицензиране на Windows.
От гледна точка на хардуера, системата се нуждае от Процесор с възможности за виртуализация (в AMD64 или съвременна ARM64 архитектура в случай на Windows 11), поне 4 GB RAM (8 GB се препоръчва за допълнителен капацитет), 1 GB свободно дисково пространство (в идеалния случай на SSD) и минимум две процесорни ядра, като четири с hyper-threading са желателни за по-плавна работа.
От съществено значение е виртуализацията е активирана в BIOS/UEFI на физическото оборудване. Ако сте във виртуална машина, ще трябва също да активирате вложена виртуализация и в някои случаи да актуализирате виртуалната машина, за да добавите тази функционалност, като използвате PowerShell команди, за да разкриете разширенията за виртуализация и да актуализирате версията на машината; ако се интересувате от настройване на по-сложна среда, можете да видите ръководство на Windows 11 като хост на тестова лаборатория.
Ако квадратчето за отметка „Пясъчник на Windows“ не се появи, когато се опитате да активирате функцията, много вероятно е системата да е определила, че Вашето оборудване не отговаря на едно или повече от изискваниятаВ този случай трябва да проверите както инсталираната версия на Windows, така и настройките на BIOS и наличния хардуер.
Как да активирате и стартирате Windows Sandbox стъпка по стъпка
След като потвърдите, че вашето издание и хардуер отговарят на изискванията, първата стъпка е включване на опции за виртуализация в BIOS или UEFI. Обикновено ще трябва да потърсите настройки като Intel VT-x, AMD-V или подобни и да ги активирате. Това е важна стъпка, защото без нея Windows не може да използва Hyper-V или функциите за контейнер и пясъчник.
След като виртуализацията е завършена, изпълнете следните стъпки:
- Отворете Windows.
- Отидете в контролния панел.
- Отворете папката „Програми“.
- Достъп до програми и функции.
- Изберете Включване или изключване на функциите на Windows.
Там ще намерите списък с допълнителни компоненти; отметнете квадратчето „Windows Sandbox“ и го приемете. Системата ще изтегли и конфигурира необходимото и след това ще ви подкани да рестартирате.
Ако предпочитате, можете да активирате функцията от Изпълняване на PowerShell като администраторТова се прави с команда, която активира функционалността Containers-DisposableClientVM, която управлява тази временна работна среда. Този метод е особено удобен, ако автоматизирате внедряването или работите със скриптове за конфигурация за множество машини.
След рестартиране просто отворете менюто „Старт“ и търсене на „Windows Sandbox“ За да стартирате инструмента за първи път, ще видите прозорец с минималистичен работен плот на Windows: оттам можете да копирате файлове, да инсталирате програми и да изпълнявате тестове, знаейки, че когато го затворите, цялата среда ще изчезне.
За напредналите потребители има възможност за създаване на .wsb конфигурационни файлове Тези функции ви позволяват да персонализирате поведението на пясъчната кутия: активиране или деактивиране на мрежата, картографиране на папките на хоста в режим само за четене или четене/запис, изпълнение на скриптове при стартиране и други. С тази конфигурация можете да проектирате висококачествени среди, съобразени с всеки случай на употреба, например пясъчна кутия за анализ на зловреден софтуер без интернет връзка и с примерна папка само за четене.
Изпробвайте разширените функции на WSB с програмата Windows Insider
Ако искате да сте в крак с най-новите подобрения, които Microsoft въвежда в sandboxing-а, можете да се присъедините към Програма за вътрешен достъп на WindowsПо този начин ще получите достъп до предварителни версии на Windows, които често включват промени и нови WSB опции, преди да бъдат пуснати за широката публика.
В рамките на тази програма можете да избирате различни актуализиране на каналите в настройките на Windows.
- Канал за развитие. Той предоставя най-новите функции, за сметка на намалена стабилност.
- Бета каналПо-балансиран. Обикновено е най-добрият вариант за напреднали потребители, които искат да опитат нови неща без твърде много изненади.
- Преглед на канала. Фокусира се върху Ключови корекции и функции в следващата стабилна версияточно преди окончателното му пускане. Това е добър начин да се уверите, че новите възможности за пясъчник се държат според очакванията, без да се излагате на прекалено радикални промени.
Имайте предвид обаче, че използването на компилации Insider предполага приемане на определена степен на риск и нестабилностПрепоръчително е това да се прави на тестово оборудване или в среди, където системна повреда не представлява сериозен производствен проблем.
Sandboxing на macOS, Linux и Windows отвъд WSB
Въпреки че фокусът тук е върху Windows Sandbox и ръчното използване на sandbox, си струва да разгледаме как... Изолацията е внедрена и в други системизащото много идеи са приложими, когато обмисляте да проектирате собствена стратегия за сигурност и тестване.
В macOS например има няколко опции: App Sandbox (насочен към приложения от Mac App Store), контейнери, виртуални машини и система за профилиране в sandbox, наречена Предпазен коландостъпен чрез sandbox-exec. Въпреки че Seatbelt беше обявен за остарял преди години, той все още се използва от критични приложения на трети страни като Chrome, именно заради гранулираността, с която позволява дефинирането на разрешения.
С Seatbelt можете динамично да генерирате профил на политиката, който ограничава повикванията към системата и чете/записва по определени пътища. Обикновено инструментът или кодовият агент изгражда този профил в реално време въз основа на конфигурацията и правилата на потребителя, подобно на команда .ignore, като много специфично блокира това, до което може и какво не може да се осъществи достъп.
В Linux ядрото предлага мощни примитиви като например seccomp и LandlockТези функции позволяват блокиране на опасни системни извиквания и прилагане на ограничения за достъп до файлови системи. Много решения тип „sandbox“ комбинират тези възможности с наслагваща се файлова система, за да представят на процеса филтриран изглед на диска, където „игнорираните“ файлове се заменят със защитени копия, които изолираният процес не може да чете или променя.
В света на Windows, когато трябва да стартирате инструменти за разработка с общо предназначение с изолация, подобна на тази на Linux, една от стратегиите е Използвайте WSL2 и го стартирайте в Linux sandbox. (например с обвиване с мехурчета), вместо да се опитва да пресъздаде всички примитиви върху самия Windows, който исторически е бил по-ориентиран към изолация на приложения, отколкото към гъвкави контейнери за разработка.
Кодови агенти и пясъчник: по-малко прекъсвания и повече сигурност
Съвременните кодови агенти се възползват изключително много от пясъчната кутия. Без нея всяка bash команда, която искат да изпълнят, трябва да бъде поставена в пясъчната кутия. вашето ръчно одобрениеТова води до наводнение от заявки за разрешения и риск от умора (в крайна сметка приемате почти без да погледнете).
Чрез поставянето на тези агенти в добре дефинирана, изолирана среда, те могат да бъдат допуснати работят с много по-голяма автономност стига да не се опитват да излизат извън установените граници. Само когато имат нужда от нещо извън пясъчника, се задейства заявка за разрешение.
На практика това означава, че служителите спират около 40% по-малко пъти Това е така, защото когато всичко изисква одобрение едно по едно, това спестява време и намалява прекъсванията. За да знае моделът как да се държи, ограниченията на пясъчната кутия трябва да бъдат ясно дефинирани в инструмента за обвивка.
Освен това, много реализации подобряват работата, като показват в резултатите на терминалния инструмент Изрично обяснение на това какво ограничение е причинило неуспехаИ в някои случаи, предложение за ескалиране на ситуацията. По този начин агентът се научава да решава кога може да продължи опитите си самостоятелно и кога трябва да поиска ескалация.
Всички тези механизми разчитат на примитиви на операционната система: Seatbelt в macOS, bubblewrap в Linux и WSL2 или комбинации от seccomp, namespaces и мрежови прокси сървъри. Резултатът е среда, в която повърхността за атака срещу prompt injections, злонамерени зависимости или компрометирани скриптове е намалена, тъй като дори ако агентът допусне грешка, Действията им са ограничени в рамките на пясъчника.
Sandboxie Plus: Гранулирана изолация на приложения в Windows
Освен вградената пясъчник на Microsoft, в Windows има добре познато решение, наречено Sandboxie PlusТова е еволюция на класическия Sandboxie, който създава изолирана операционна среда за стартиране и инсталиране на програми без трайна промяна на локалната система. За разлика от WSB, това не е пълна мини-инсталация на Windows, а по-скоро... слой за виртуализация на ниво процес и файлова система.
Sandboxie е създаден през 2004 г. като инструмент за приложете Internet Explorer и да минимизират въздействието на техните уязвимости. С течение на времето се разшири до други браузъри и всяко ненадеждно приложение. Днес, под лиценза GPLv3, както класическата, така и Plus версията споделят една и съща основа за сигурност. Разликата е, че последната има... Модерен интерфейс, базиран на Qt и серия от екстри, които го правят по-комфортен и мощен.
Сред най-интересните характеристики на Sandboxie Plus е мениджър на моментни снимкиТова ни позволява да направим снимка на всяка „пясъчник“ и да я възстановим по-късно, режим на поддръжка за инсталиране или деинсталиране на услугата и драйвера, когато е необходимо, и преносим режим, който извлича всички файлове в директория, за да ги пренесем навсякъде без традиционна инсталация.
Той предлага и допълнителни опции за интерфейса за блокиране на достъпа до определени компоненти на WindowsНапример, клипборда или опашката за печат. А също и по-фини настройки за ограничаване на достъпа до интернет, контрол на това, което може да се стартира от Старт > Изпълнение, и глобална клавишна комбинация за прекратяване на всички процеси в изолирана кутия в случай на спешност.
Освен това включва а sandbox защитна стена, базирана на Windows Filter Platform (WFP)Това позволява всяко устройство да бъде третирано така, сякаш има свои собствени мрежови правила. Всичко това се поддържа от предварително дефинирани шаблони за ограничения, така че дори по-неопитните потребители да имат сравнително сигурна среда от самото начало, с възможност за коригиране и засилване на тези ограничения, ако е необходимо.
Първи стъпки със Sandboxie Plus
Когато инсталирате Sandboxie Plus, програмата създава файл по подразбиране изолационна среда, наречена „DefaultBox“От контекстното меню можете да получите достъп до опциите на пясъчника и да промените поведението му. Например, можете да решите в кои пътища може да записва, кои приложения да се стартират автоматично вътре, какви мрежови ограничения да се прилагат и т.н.
Това, което е наистина интересно обаче, е да създадете свой собствен отделни среди за различни случаи на употребаОт менюто „Sandbox“ можете да изберете „Create new Sandbox“. След това му дайте описателно име и накрая изберете начална конфигурация, като например „Hardened“, за да увеличите защитата и да я приемете.
Стартирането на приложение в пясъчник е толкова просто, колкото щракнете с десния бутон върху полетоПоставете курсора върху „Изпълнение“ и изберете „Изпълнение на програма“. Можете ръчно да въведете пътя до изпълнимия файл или да използвате бутона „Преглед“, за да го намерите. След като изберете и потвърдите, програмата ще се стартира в изолираната среда, наследявайки всички дефинирани ограничения.
Друг удобен начин да го използвате е да прибегнете до Интегрирано стартово меню на Sandboxie PlusОт същото меню „Изпълнение“ можете да изберете „Изпълнение от менюто „Старт“ и да изберете приложения, инсталирани на вашата система, които искате да се изпълняват под защитата на пясъчник, без да се налага ръчно да търсите изпълнимия им файл.
Накратко, ръчното изолиране без допълнителен софтуер и с помощта на инструменти, интегрирани в системата, подсилено, когато е необходимо, с решения като Sandboxie Plus или добре конфигурирани Linux/macOS среди, ви позволява да имате много ясни слоеве на защита срещу съмнителен софтуер, човешки грешки и все по-автоматизирани кодови агентиВъзползването от тези изолирани среди за разглеждане, тестване, отстраняване на грешки и изпълнение на чувствителни програми е практичен начин за намаляване на рисковете, без да се жертва експериментирането или комфортната работа.
